この章

FWSM からの Cisco ASA サービスモジュー
ルへの移行
目次
•
「移行に関する情報」（P.1）
•
「FWSM 構成の ASA SM への移行」（P.2）
•
「サポートされていない Runtime コマンド」（P.5）
•
「構成の移行に関する参考資料」（P.7）
•
「関連資料」（P.17）
•
「マニュアルの入手方法およびテクニカルサポート」（P.17）
移行に関する情報
このガイドでは、 Cisco FWSM の構成を Cisco ASA SM 8.5 の構成に変換する方法について説明
します。
また、 Cisco FWSM と Cisco ASA SM の動作の違いについても詳しく説明します。
ASA SM は FWSM と共通のソフトウェア基盤を共有しますが、 FWSM の構成は ASA SM では
直接使用できません。
特定のコマンドの使用法などプラットフォーム間の違いによって、 FWSM の構成を変更せずに
ASA SM で使用することはできません。
警告
移行ツールの実行後、移行した構成を ASA SM の CLI プロンプトで貼り付けることはできません。
ネットワークを介して構成をスタートアップ構成にコピーしてから ASA SM にリロードし、スター
トアップ時に追加の移行を実行できるようにする必要があります。
特に、 ASA SM の NAT 機能が見直され、 FWSM よりも柔軟性および機能性が向上しています。
ASA SM では、自動 NAT を使用して NAT を構成すると、ネットワークオブジェクトの属性の
一部として NAT を構成でき、手動 NAT を使用すると、より高度な NAT オプションを構成で
きます。
Americas Headquarters:
© 2011 Cisco Systems, Inc. All rights reserved.
FWSM 構成の ASA SM への移行
ASA SM では、すべての NAT および NAT 関連コマンドが再設計されます。 nat （グローバルお
よびオブジェクトネットワークコンフィギュレーションモード）、 show nat、 show nat pool、
show xlate、 show running-config nat の各コマンドが導入または変更されました。 global、
static、 nat-control、 alias の各コマンドは削除されました。
FWSM と ASA SM 間のスタティックの NAT の一致における違いについては、「デフォルトの動
作の違いによる移行」（P.7）を参照してください。
ASA SM での NAT の機能変更に関する詳細については、『Cisco ASA 5500 Migration Guide for
Version 8.3』の「NAT の移行」を参照してください。
FWSM 構成の ASA SM への移行
FWSM の構成を ASA SM へ移行するには、次の 2 つのステップを実行します。
ステップ 1 ：移行ツールの実行
ステップ 2 ：移行した構成の ASA SM への適用
移行ツールを実行したときに、移行ツールは必要なすべてのコマンド構文を変更するわけでは
ないため、これらの 2 つのステップを使用して FWSM から ASA SM へ移行する必要がありま
す。このため、移行した構成ファイルを開くことができず、 select all コマンドを入力して、そ
の構成をコピーして、 ASA SM のコマンドラインに構成を貼り付けることができません。
移行した構成ファイルは、 ASA SM のスタートアップ構成にコピーする必要があります。後で
ASA SM を再起動すると、スタートアップ構成が起動時に解析されます。 ASA SM イメージは
FWSM から非推奨となっている、または変更されている NAT、 ACL、およびその他のコマン
ドを使用して、それらのコマンドを ASA SM が許可するコマンドに変換します。
移行ツールの実行
移行ツールには、 FWSM の移行を実行する Windows と Macintosh のアプリケーションが含まれ
ます。
前提条件
ASA SM は既知の状態にする必要があります。ブレード上で実行する構成はできません。また、
構成後、サービスモジュールの構成をクリアする場合は、 write erase コマンドを実行します。
FWSM の構成を ASA SM の構成に変換するには、次のステップを実行します。
ステップ 1
シスコのソフトウェアダウンロードサイトから、ファイル fwsm_migration_mac.zip または
fwsm_migration_win.zip を見つけ、 Windows クライアントまたは Macintosh クライアントに保存
します。 ZIP ファイルを解凍し、そこから変換アプリケーションを実行するシステムに対応す
るファイル、 fwsm_migration.exe または fwsm_migration.app を取得します。
ステップ 2
ASA SM に移行する FWSM から、すべてのコンテキストの各構成ファイルとシステムコンテ
キストファイルを含むすべての構成ファイルを、移行ツールアプリケーションを抽出した
ディレクトリにコピーします。
シングルモードの場合は、実行中の構成ファイルをコピーします。マルチモードの場合は、次
の構成ファイルをコピーします。
•
システム領域の構成
•
管理コンテキスト
•
対象のユーザコンテキスト
FWSM からの Cisco ASA サービスモジュールへの移行
2
FWSM 構成の ASA SM への移行
ステップ 3
wsm_migration.exe または fwsm_migration.app ファイルをダブルクリックして移行ツールを起動
します。
[FWSM Configuration Migration] ダイアログボックスとコマンドウィンドウが表示されます。こ
のウィンドウに変換の進捗とステータスが表示されます。
ステップ 4
ステップ 5
ステップ 6
ステップ 7
変換に適切なオプションボタンを選択します。
•
[Single File] - シングルコンテキストモードで実行する FWSM 用の構成ファイルを変換す
る場合は、このオプションを選択します。
•
[Directory] - マルチコンテキストモードで実行する FWSM 用の複数のファイルを変換する
場合は、このオプションを選択します。各コンテキストに対応する構成ファイルがあり、
FWSM にはシステムコンテキストファイルがあります。
選択したオプション（[Single File] または [Directory]）の下に、変換するファイルの情報を入力
します。
•
[Input File] フィールド - シングルコンテキスト FWSM の構成ファイルのパスおよびファイ
ル名を入力するか、ローカルシステム上のファイルを検索するには [Browse] をクリックし
ます。
•
[Input Directory] - すべてのマルチコンテキスト構成ファイルとシステムコンテキストファ
イルを含むディレクトリへのパスを入力するか、ローカルシステムのディレクトリを検索
するには、 [Browse] をクリックします。
選択したオプション（[Single File] または [Directory]）の下に変換の出力情報を入力します。
•
[Output File] フィールド - シングルコンテキストの FWSM 用に移行ツールが変換後の構成
ファイルの作成に使用するパスとファイル名を入力します。
•
[Output Directory] - 移行ツールが変換されたマルチコンテキスト構成ファイルおよびシス
テムコンテキストファイルを配置するディレクトリへのパスを入力するか、ローカルシ
ステムのディレクトリを検索するには、 [Browse] をクリックします。
[ASA SM Boot Image] フィールドに、次の形式で ASA SM のブートイメージの場所を入力します。
ドライブ :/ ブートファイルパス
ブートイメージ値は次のオプションの 1 つが含まれる必要があります。
•
disk0:/ のパスおよび disk0 上のファイル名
•
disk1:/ のパスおよび disk1 上のファイル名
•
flash:/ のパスおよび flash 上のファイル名
•
tftp プレフィックスで始まる URL
このフィールドに入力した値によって、最終的な移行を完了するときにブートする ASA SM イ
メージが定義されます。
（注）
ステップ 8
write memory コマンドを ASA SM で発行し、ブートイメージ値をメモリに書き込む必
要があります。 write memory コマンドを発行すると、ブートイメージに指定したブー
トイメージ値が構成ファイルの BOOT 変数に保存されます。値をメモリに書き込んだ
後、 show bootvar コマンドを入力して、ブート変数がメモリに書き込まれたことを確認
します。 ASA SM については、『Cisco ASA 5500 Series Command Reference, 8.5』を参照し
てください。
[Log Location] フィールドに、変換からのステータス情報を記録するために移行ツールが使用
するログファイルのパスおよび名前を入力するか、 [Browse] をクリックしてローカルシステ
ムのファイルの場所を見つけます。
FWSM からの Cisco ASA サービスモジュールへの移行
3
FWSM 構成の ASA SM への移行
ステップ 9
[Convert] をクリックし、変換を開始します。
コマンドウィンドウにステータス情報が表示されます。変換が正常に完了すると、 [Success] ダ
イアログボックスが表示されます。
ステップ 10
変換を終了するには、 [OK] をクリックします。
次の作業
「移行した構成の ASA SM への適用」（P.4）
移行した構成の ASA SM への適用
前提条件
ステップ 1
（注）
•
移行ツールを使用して FWSM の構成を移行しておく必要があります。「移行ツールの実行」
（P.2）を参照してください。
•
TFTP、 SSH、または HTTP を使用してファイルを転送できるように ASA SM でインター
フェイスを構成します。
TFTP、 SSH、または HTTP を経由して ASA SM に移行したファイルをコピーします。
必要に応じて、 TFTP、 SSH、または HTTP を使用してファイルを転送できるようにインター
フェイス構成を追加します。
a.
シングルモードで動作している場合は、 startup-config ファイルに移行した構成をコピーし
ます。
b.
マルチモードで動作している場合は、 startup-config にシステム構成を、 disk0 にすべてのコ
ンテキスト構成ファイル（Admin コンテキストなど）をコピーします。
（注）
コンテキストファイルは、各コンテキストのシステム構成が示すパス内の disk0: に配置する必
要があります。システム構成に「config-url disk0:/context/ctx1.cfg」としてコンテキストの構成
URL がある場合は、そのコンテキストのファイルはコンテキストディレクトリパスに配置す
る必要があります。
（注）
移行した構成を ASA SM の CLI プロンプトで貼り付けることはできません。ネットワークを介
して構成をスタートアップ構成にコピーしてから ASA SM にリロードし、スタートアップ時に
追加の移行を実行できるようにする必要があります。 FWSM 機能を Object NAT や Twice NAT
を使用する ASA SM 上の NAT 機能に変換するなど、特定の機能の変換が複雑なため、構成を
コピーし、貼り付けることはできません。
ステップ 2
シングルモードの ASA SM イメージを移動しているときに FWSM をリロードします。
起動時に、最終的な構成変更が ASA SM イメージで実行されます。
FWSM からの Cisco ASA サービスモジュールへの移行
4
サポートされていない Runtime コマンド
（注）
マルチモード FWSM コンテキストをアップロードする場合、各マルチモードコンテキ
ストを適用した後に ASA SM をリロードする必要はありません。
サポートされていない Runtime コマンド
ここでは、次の内容について説明します。
•
「サポートされていない Debug コマンド」（P.5）
•
「サポートされていない Clear コマンド：」（P.5）
•
「サポートされていない Show コマンド」（P.6）
サポートされていない Debug コマンド
次の debug コマンドは、 FWSM ではサポートされていますが、 ASA SM ではサポートされてい
ません。
•
[show | no] debug ip bgp
•
[show | no] debug resource partition
•
[show | no] debug pc-lu
•
[show | no] debug ssl
•
[show | no] debug npcp
•
[show | no] debug route-np
•
[show | no] debug aging
•
[show | no] debug session
•
[show | no] debug RM-NP-counter
•
[show | no] debug control-plane
•
[show | no] debug route-monitor
•
[show | no] debug acl optimization
•
[show | no] debug route-inject
サポートされていない Clear コマンド：
次の clear コマンドは、 FWSM ではサポートされていますが、 ASA SM ではサポートされてい
ません。
•
clear dispatch stats all
•
clear ip bgp
•
clear route-monitor statistics
•
clear route statistics
FWSM からの Cisco ASA サービスモジュールへの移行
5
サポートされていない Runtime コマンド
•
clear np number_item keyword
•
clear np all stats
•
clear npcp statistics
•
clear service-acceleration
•
clear configure resource rule
•
clear configure resource partition
•
clear configure ftp-map
•
clear configure gtp-map
•
clear configure mgcp-map
•
clear configure h225-map
•
clear configure xlate-bypass
•
clear configure rip
•
clear configure route-monitor
•
clear configure router bgp
•
clear configure control-point tcp-normalizer
•
clear configure route-inject
サポートされていない Show コマンド
次の show コマンドは、 FWSM ではサポートされていますが、 ASA SM ではサポートされてい
ません。
•
show running-config all ftp-map
•
show running-config all gtp-map
•
show running-config all mgcp-map
•
show running-config all h225-map
•
show running-config all xlate-bypass
•
show running-config all rip
•
show running-config all route-monitor
•
show running-config all control-point tcp-normalizer
•
show running-config all route-inject
•
show resource rule
•
show resource acl-partition
•
show resource partition
•
show flashfs
•
show conn np
•
show asr
•
show pcdebug
•
show pc conn
FWSM からの Cisco ASA サービスモジュールへの移行
6
構成の移行に関する参考資料
•
show nic
•
show np keyword
•
show np number_item keywords
•
show cpu threshold
•
show dispatch table
•
show dispatch statistics
•
show pc xlate
•
show pc local-host
•
show ip bgp
•
show route-monitor
•
show npcp keywords
•
show service-acceleration statistics
•
show route-inject
構成の移行に関する参考資料
ここでは、次の内容について説明します。
•
「デフォルトの動作の違いによる移行」（P.7）
•
「ASA SM でのサポートされていない機能による移行」（P.8）
•
「CLI の違いによる移行」（P.10）
•
「デフォルト値および値の範囲の違い」（P.15）
•
「SNMP の違い」（P.17）
デフォルトの動作の違いによる移行
FWSM と ASA SM の主なデフォルト動作の違いは次のとおりです。
暗黙的な拒否
デフォルトでは、 FWSM のインターフェイスをアクセスリストまたはアクセスグループコマ
ンドを割り当てないで構成すると、 FWSM はそれらのインターフェイスに入ってくるすべての
トラフィックをドロップします。 FWSM に入るトラフィックを許可するには、インバウンド
アクセスリストをインターフェイスに追加する必要があります。
デフォルトでは、アクセスリストやアクセスグループコマンドを割り当てずに ASA SM でイ
ンターフェイスを構成すると、 ASA SM は高セキュリティインターフェイス（内部セキュリ
ティレベルは 100 を想定）から低セキュリティインターフェイス（外部セキュリティレベル
は 0 を想定）へのトラフィックの通過を許可します。逆は当てはまりません。 ASA SM は外部
から内部インターフェイスへのトラフィックの通過を許可しません。
したがって、このタイプの FWSM 構成では方向に関係なくトラフィックをブロックする必要
があると想定して移行ツールが作成されました。パリティを保持するには、移行ツールはすべ
てのインターフェイス上に明示的な ACL （deny ip any any）を追加してトラフィックを拒否し
ます。さらに、 ASA SM では、アクセスリストの最後のステートメントは暗黙の deny ip any で
す。 IOS デバイスはこれと同じ動作を使用します。
FWSM からの Cisco ASA サービスモジュールへの移行
7
構成の移行に関する参考資料
次の例を参照してください。
例1
no access-list/groups on any interface
内部から外部へのトラフィックは許可されます。
外部から内部へのトラフィックは拒否されます。
例2
access-list INSIDE permit ip 192.168.1.0 255.255.0 any
access-group INSIDE in interface inside
内部から外部、ソース IP 192.168.1.10 のトラフィックは許可されます。
内部から外部、ソース IP 192.168.2.1 へのトラフィックは拒否されます（hits implicit）。
暗黙的な ICMP の拒否
デフォルトでは、 FWSM は暗黙的な ICMP の拒否をインターフェイスに設定するように構成さ
れます。 ASA SM は暗黙的な許可を設定するように構成されます。
移行ツールを実行すると、すべてのインターフェイスに icmp deny 分が追加されます。
スタティックの NAT 一致
デフォルトでは、 FWSM はスタティック NAT およびスタティック PAT に最適な一致を使用する
ように構成されます（標準およびポリシー）。重複する IP アドレスがスタティック文で発生した
場合、警告が表示されますが、重複する IP アドレスはサポートされます。 static コマンドの順番
は重要ではありません。実アドレスと最も一致した static ステートメントが使用されます。
ASA SM では、 IP アドレスは、構成に現れるルールの順番に基づいて、スタティック NAT
ルールとスタティック PAT ルールと照合されます。
移行ツールは FWSM の動作を保持できません。したがって、重複する NAT ルールがある場合
は、移行した構成を見て、アドレス変換の要件に一致していることを確認してください。
ASA SM でのサポートされていない機能による移行
次の FWSM 機能は ASA SM ではサポートされていません。
マルチモードの IPSec （管理のみ）
FWSM では、 IPsec は、マルチモードで管理用にサポートされています。
ASA SM はマルチモードの IPSec をサポートしません。 IPSec （シングルおよびマルチモードの
両方）はサポートされていません。移行ツールを実行すると、 VPN 関連のコマンドが削除さ
れ、 IPSec がサポートされていないことを通知します。
非対称ルーティング
非対称ルーティングを ASA SM に導入していた場合、アクティブ / アクティブの制約によって
影響されませんでした。
ASA SM では、アクティブ / アクティブモードでサポートされているのは非対称ルーティング
のみです。
移行ツールは、アクティブ / アクティブモードでない場合はコマンドを削除し、ユーザに通知
します。
FWSM からの Cisco ASA サービスモジュールへの移行
8
構成の移行に関する参考資料
BGP スタブルーティング
CLI コマンド：
router bgp
bgp router-id
neighbor remote-as
neighbor password
network
これは、 BGP スタブルーティングをサポートする FWSM の機能です。
ASA SM はこの機能をサポートしません。
移行ツールは BGP 関連のコマンドを削除し、ユーザに通知します。
アクティブ / スタンバイフェールオーバーのフェールオーバープリエンプション
CLI コマンド：
[no] failover preempt
これは、アクティブ / スタンバイフェールオーバーのシナリオで構成可能な FWSM 機能です。
この機能が構成されている場合、プライマリユニットは特定の時間が経過した後、次の場合に
常にアクティブになります。
•
プライマリユニットに障害が発生して、セカンダリがアクティブになった場合
•
プライマリユニットとセカンダリユニットがアクティブになる前にセカンダリユニット
がブートした場合
ASA SM はこの機能をサポートしません。
移行ツールはコマンドを排除し、ユーザに通知します。
ルートヘルス注入
CLI コマンド：
route-inject
redistribute nat
redistribute connected
redistribute static
これは、 FWSM の機能で、 FWSM で構成されている、接続済みの静的 NAT プールルートをコン
テキストごとに MSFC にインストールします。 MSFC はその後に、そのルートを再配布します。
ASA SM はこの機能をサポートしません。
DHCP リレーインターフェイス固有のサーバ
CLI ：
interface vlan vlan_id
dhcprelay server ip_address
FWSM では 3.2(1) でこの機能が追加されました。この機能を使用すると、インターフェイス固
有の DHCP サーバを構成できます。「dhcprelay server」 CLI はグローバルモードで構成でき、
インターフェイス固有のモードで追加することもできました。
ASA SM はこの機能をサポートしません。
FWSM からの Cisco ASA サービスモジュールへの移行
9
構成の移行に関する参考資料
移行ツールはインターフェイス固有のコマンドからグローバルに変換し、ユーザに通知します。
ステートフルフェールオーバーの Uauth テーブルの複製
FWSM は、ステートフルフェールオーバーが構成されている場合のフェールオーバーピアへ
の Uauth テーブルの複製をサポートします。
ASA SM はこの機能をサポートしません。
移行ツールは、ステートフルフェールオーバーが構成されている場合に INFO メッセージを追
加します。
CLI の違いによる移行
次の表に、 FWSM と ASA SM の CLI コマンドの違いを示します。
表1
FWSM と ASA SM の構成 CLI の違い
機能
FWSM コマンド
ASA SM の動作
すべてのプロトコル
の接続タイムアウト
set connection timeout idle
idle キーワードは ASA SM で
はサポートされていません。
ASA SM には、特定の時間が
経過した後、 TCP 接続を閉じ
るために使用する tcp キー
ワードがあります。
移行ツールを実行すると、
idle キーワードが tcp キー
ワードに変換されます。
接続率上限
set connection conn-rate-limit
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
AAA 認証チャレンジ
aaa authentication challenge disable
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
AAA authentication
clear conn
aaa authentication clear-conn
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
仮想 SSH
virtual ssh
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
RADIUS による認証
用のインタラクティ
ブパスワードプロン
プト
auth-prompt reject
[invalid-credentials | expired-pwd]
ASA SM はこのコマンドをサ
ポートしますが、新しいオプ
ションはサポートしません。
FWSM からの Cisco ASA サービスモジュールへの移行
10
移行ツールは新しいオプショ
ンが存在する場合に、このコ
マンドを削除します。
構成の移行に関する参考資料
表1
FWSM と ASA SM の構成 CLI の違い（続き）
機能
FWSM コマンド
ASA SM の動作
DHCP relay trusted
interface （オプショ
ン 82）
dhcprelay information trusted
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
http-map
port-misuse
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
logging deny conn-queue-full
このコマンドは、 ASA SM で
はサポートされていません。
移行ツールは構成からこのコ
マンドを削除します。
dhcprelay information trust-all
EtherType アクセスリ FWSM では、「deny all」 ethertype
ストおよび拒否 IPv4 access-list を設定した透過的ファイア
トラフィックと ARP
ウォールモードで IPv4 も ARP も
FWSM で拒否できません。
ASA SM では、「deny all」
ethertype access-listdeny を設
定した透過的ファイアウォー
ルモードで IPv4 および ARP
を含むすべての EtherType が
拒否されます。
移行ツールは IPv4 EtherType
と ARP EtherType の許可文を
追加します。
virtual http ip_address [host hostname] ASA SM には virtual http コ
ユーザ認証の仮想
マンドがありますが、このコ
HTTP を使用した直接
マンドに対して別の動作をし
ログインまたはログ
ます。 ASA SM は直接認証の
アウト
ログインはサポートします
が、ログアウトはサポートし
ません。
ASA SM は、 virtual http コマ
ンドを使用したカスケード認
証をサポートします。
ASA SM ではこの機能は、
aaa authentication listener
http コマンドを使用して構成
できます。
ルートモニタリング
Route-monitor
ASA SM は、 sla monitor コマ
ンドを使用して同じ機能をサ
ポートします。 ASA SM はこ
のコマンドで FWSM よりも多
くのオプションをサポートし
ます。
移行ツールは FWSM コマンド
を削除し、同様の機能を実行
するために使用できる sla
monitor コマンドについてツー
ルログに情報を追加します。
FWSM からの Cisco ASA サービスモジュールへの移行
11
構成の移行に関する参考資料
表1
FWSM と ASA SM の構成 CLI の違い（続き）
機能
FWSM コマンド
ASA SM の動作
アプリケーションイ
ンスペクション
ftp-map
ASA SM はアプリケーション
インスペクションマップコマ
ンドをサポートします。
gtp-map
h225-map
http-map
mgcp-map
snmp-map
移行ツールを実行すると、
map コマンドを ASA SM が使
用する policy-map match コマ
ンドに変換します。
sip-map
RIP
rip
ASA SM は単一回線の RIP 構
成をサポートします。
移行ツールを実行すると、ス
タートアップ構成にコマンド
がある場合は、構成を
ASA SM が使用する RIP 構成
に変換します。
TCP ノーマライザ
control-point tcp-normalizer
FWSM は TCP ノーマライザを
サポートします。これは、構
成設定を使用して有効または
無効にできます。
ASA SM は TCP ノーマライザ
を無効にする設定を含んでい
ません。
移行ツールは構成からこのコ
マンドを削除します。
ルールの制限
resource acl-partition
resource partition
size
rule
allocate-acl-partition
access-list commit
resource rule
すべてのトラフィッ
クの Xlates
xlate-bypass
困難な NP により、 FWSM に
は制限をサポートするための
修正されたルールの制限があ
ります。
ASA SM には修正されたルー
ルの制限がないため、修正さ
れたルールの制限を許可する
コマンドをサポートしません。
移行ツールは構成からコマン
ドを削除します。
FWSM は、すべてのトラ
フィックの xlates を作成しま
す（デバイストラフィックに
対するものも含む）。
ASA SM はすべてのトラ
フィックに xlates を作成しま
せん。したがって、このコマ
ンドをサポートしません。
移行ツールは構成からこのコ
マンドを削除します。
FWSM からの Cisco ASA サービスモジュールへの移行
12
構成の移行に関する参考資料
表1
FWSM と ASA SM の構成 CLI の違い（続き）
機能
FWSM コマンド
ASA SM の動作
ACL 最適化
access-list optimization enable
ASA SM はこのコマンドをサ
ポートしません。
移行ツールは構成からこのコ
マンドを削除します。
sysopt uauth allow-http-cache
ASA SM はこのコマンドをサ
ポートしません。
移行ツールは構成からこのコ
マンドを削除します。
sysopt np completion-unit
ASA SM はこのコマンドをサ
ポートしません。
移行ツールは構成からこのコ
マンドを削除します。
sysopt connection tcp sack-permitted
FWSM は、 TCP 3 方向ハンド
シェイク時にやり取りした
SACK 許可オプションをクリ
アするためにどんな形式のコ
マンドも使用しません。
SACK オプションはデフォル
トで有効になります。
ASA SM は tcp-map で
tcp-options selective-ack
clear/allow コマンドを使用し
てこの機能を実装します。
デフォルトでは、 ASA SM
は SACK オプションを許可
します。
移行ツールは、どんな形式の
コマンドも ASA SM
tcp-options に変換しません。
sysopt connection tcp window-scale
FWSM は、 Window-scale
TCP オプションをクリアする
ためにどんな形式のコマンド
も使用しません。このオプ
ションは、デフォルトで許可
されます。
ASA SM は tcp-options
window-scale {clear/allow} コ
マンドを使用してこの機能を
実装します。デフォルトで
は、ウィンドウスケールオプ
ションを許可します。
移行ツールは、どんな形式の
コマンドも ASA SM
tcp-options に変換しません。
FWSM からの Cisco ASA サービスモジュールへの移行
13
構成の移行に関する参考資料
表1
FWSM と ASA SM の構成 CLI の違い（続き）
機能
FWSM コマンド
ASA SM の動作
SNMP トラップコマ
ンド
snmp-server enable traps entity
redun-switchover
snmp-server enable traps entity
alarm-asserted
ASA SM は、これらの SNMP
トラップをサポートしませ
ん。したがって、これらのコ
マンドをサポートしません。
snmp-server enable traps entity
alarm-cleared
移行ツールは構成からコマン
ドを削除します。
snmp-server enable traps resource
snmp-server enable traps resource
limit-reached
snmp-server enable traps resource
rate-limit-reached
サービスのリセット
service reset no-connection
ASA SM は service reset
inbound コマンドを使用して
同じ動作を実行します。
移行ツールは、 FWSM が使用
する service reset inbound コマ
ンドに ASA SM コマンドを変
換します。
aaa schedule round-robin
ASA SM はこのコマンドをサ
ポートしません。
移行ツールは構成からこのコ
マンドを削除します。
aaa authentication {ftp | telnet | http |
https} challenge disable
ASA SM は、challenge disable
コマンド、または ftp オプ
ションをサポートしません。
移行ツールは構成からこのコ
マンドを削除します。
FWSM からの Cisco ASA サービスモジュールへの移行
14
構成の移行に関する参考資料
表1
FWSM と ASA SM の構成 CLI の違い（続き）
機能
FWSM コマンド
ASA SM の動作
リソース制限値
limit-resource rate fixups value
ASA SM にはリソースの上限
がありません。したがって、
リソースの % レート制限はサ
ポートしません。 ASA SM は
MAC アドレスおよび IPSec ト
ンネルの制限をサポートしま
せん。
limit-resource rate resource value%
limit-resource Mac-addresses
value|value%
limit-resource IPSec value|value%
移行ツールは limit-resource
rate fixups value を
limit-resource rate inspects
value に変換し、
limit-resource rate resource
value% を削除し、
limit-resource Mac-addresses
value|value% を削除し、
limit-resource IPSec
value|value% を削除します。
URL-Server コマンド
url-server [if_name] vendor websense
host local_ip protocol udp
context-name
url-server [if_name] vendor websense
host local_ip protocol tcp connections
num_conns
ASA SM は context-name
キーワードをサポートしませ
ん。 ASA SM には、同時接続
数を構成するために TCP の
前にプロトコルキーワード
が必要です。
移行ツールはコマンドから
context-name キーワードを削
除します。プロトコルキー
ワードがない接続キーワード
がある場合、移行ツールはプ
ロトコルキーワードを追加し
ます。
デフォルト値および値の範囲の違い
次の表に、 FWSM と ASA SM 間のデフォルト値と値の範囲の違いを示します。デフォルト値お
よび値の範囲の違いは FWSM から ASA SM への移行に影響しません。
FWSM からの Cisco ASA サービスモジュールへの移行
15
構成の移行に関する参考資料
表2
デフォルト値および値の範囲の違い
FWSM の値
ASA SM の値
最小フェールオーバーポーリング時間は
500 ミリ秒
最小フェールオーバーポーリング時間は 200
ミリ秒
CLI ：
CLI ：
failover polltime msec
failover polltime msec
インターフェイスの最小ポーリング間隔は
3秒
インターフェイスの最小ポーリング間隔は 1
秒。 ASA SM はミリ秒単位をサポートしてお
り、ミリ秒単位の最小間隔は 500 です。
CLI ：
failover polltime interface
CLI ：
failover polltime interval
failover polltime interval msec
最小フェールオーバーユニットのポーリング最小フェールオーバーユニットのポーリング
時間は 200 ミリ秒
時間は 500 ミリ秒
CLI ：
CLI ：
failover polltime unit msec
failover polltime unit msec
リソース制限値
ASA SM には、 FWSM 列に示されているすべ
てのリソースについてのリソース制限があり
ません。
Conns – 999,900
Conns/Sec – 102,400
Fixups/Sec – 10,000
Hosts – 256K
Syslogs/sec – 30,000
Xlates – 256K
SIP Disconnect タイムアウト
SIP Disconnect タイムアウト
最小 – 1 分
最小 - 1 秒
最大 - 10 分
最大 - 1193 分
CLI ：
CLI ：
timeout sip-disconnect
timeout sip-disconnect
SIP Invite タイムアウト
SIP Invite タイムアウト
最大 - 30 分
最大 - 1193 分
CLI ：
CLI ：
timeout sip-invite
timeout sip-invite
Xlate タイムアウト
Xlate タイムアウト
最小 - 30 秒
最小 – 1 分
CLI ：
CLI ：
timeout xlate
timeout xlate
（注）
FWSM からの Cisco ASA サービスモジュールへの移行
16
移行ツールは、 30 秒から 59 秒、およ
び 1 分までの値を持つ xlate タイムア
ウトコマンドを変換します。
関連資料
SNMP の違い
次の FWSM MIB は、 ASA SM でサポートされていません。
CISCO-ENTITY-ALARM-MIB.my
CISCO-ENTITY-REDUNDANCY-MIB.my
CISCO-ENTITY-REDUNDANCY-TC-MIB.my
CISCO-NAT-EXT-MIB.my
TCP-MIB.my
UDP-MIB.my
次の FWSM SNMP トラップは ASA SM でサポートされていません。
ceAlarmAsserted: CISCO-ENTITY-ALARM-MIB.my
ceRedunEventSwitchover: CISCO-ENTITY-REDUNDANCY-MIB.my
clrResourceRateLimitReached: CISCO-L4L7MODULE-RESOURCE-LIMIT-MIB.my
関連資料
FWSM に関する追加情報については、次の URL を参照してください。
http://www.cisco.com/en/US/products/hw/modules/ps2706/ps4452/tsd_products_support_model_hom
e.html
ASA SM に関する追加情報については、次の URL を参照してください。
http://www.cisco.com/go/asadocs
マニュアルの入手方法およびテクニカルサポート
マニュアルの入手方法、テクニカルサポート、その他の有用な情報について、次の URL で、
毎月更新される『What's New in Cisco Product Documentation』を参照してください。シスコの新
規および改訂版の技術マニュアルの一覧も示されています。
http://www.cisco.com/en/US/docs/general/whatsnew/whatsnew.html
このマニュアルは、「関連資料」の項に記載されているマニュアルと併せてご利用ください。
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
このマニュアルで使用している IP アドレスは、実際のアドレスを示すものではありません。マニュアル内の例、コマンド出力、および
図は、説明のみを目的として使用されています。説明の中に実際のアドレスが使用されていたとしても、それは意図的なものではなく、
偶然の一致によるものです。
©2010 Cisco Systems, Inc. All rights reserved.
FWSM からの Cisco ASA サービスモジュールへの移行
17
マニュアルの入手方法およびテクニカルサポート
FWSM からの Cisco ASA サービスモジュールへの移行
18

Download Report

この章

Paperzz.com

Your Paperzz